EuGH-Urteil vom 4.10.2024, Rechtssache C‑446/21

 

Sachverhalt:

Die Meta Platforms Ireland Ltd betreibt Facebook in der EU. Seit November 2023 sind die Dienste nur noch für diejenigen Nutzer kostenlos, die zugestimmt haben, dass ihre personenbezogenen Daten erhoben und verwendet werden, um personalisierte Werbung an sie zu richten. Diese Art der Werbung wird technisch ermöglicht, indem automatisiert detaillierte Profile der Nutzer erstellt werden. Der Datenverarbeitung liegt ein Nutzungsvertrag zugrunde. Nach diesen Richtlinien erfasst Meta nutzer- und gerätebezogene Daten über Nutzeraktivitäten sowohl innerhalb als auch außerhalb des sozialen Netzwerks und ordnet sie den Facebook-Konten der betroffenen Nutzer zu.

Aufgrund von „Facebook-Plug-ins“ konnte Meta das Verhalten des Klägers (Maximilian Schrems) im Internet verfolgen, was die Erhebung bestimmter sensibler personenbezogener Daten ausgelöst hat. Herr Schrems erlaubte Meta allerdings nicht, seine personenbezogenen Daten über seine Tätigkeiten außerhalb von Facebook für personalisierte Werbezwecke zu verarbeiten. Jedoch hatte Meta bestimmte Daten über Herrn Schrems aufgrund von Cookies, Social Plug-ins und vergleichbaren auf Webseiten Dritter integrierten Technologien erlangt und diese verwendet, um Herrn Schrems personalisierte Werbung zukommen zu lassen.

Herr Schrems hatte auf seinem Facebook-Profil keine sensiblen Daten angegeben. Nur seine „Freunde“ konnten seine Aktivitäten oder die Informationen auf seiner „Timeline“ (Chronik) sehen; auch seine „Freundesliste“ war nicht öffentlich. Er gestattete es Meta auch nicht, Felder seines Profils zu Beziehungsstatus, Arbeitgeber, Berufsbezeichnung und Ausbildung für gezielte Werbung zu verwenden. Herr Schrems hatte seine Homosexualität zwar öffentlich kommuniziert (zB im Rahmen einer Podiumsdiskussion), sie aber nicht in seinem Facebook-Profil angegeben.

Aufgrund der zur Verfügung stehenden Daten konnte Meta jedenfalls auch das Interesse von Herrn Schrems an sensiblen Themen wie Gesundheit, sexuelle Orientierung, ethnische Gruppen und politische Parteien erkennen, was es Meta ermöglicht, zielgerichtete Werbung an ihn zu richten, die beispielsweise auf eine bestimmte sexuelle Orientierung oder eine bestimmte politische Überzeugung abzielt.

Herr Schrems gab eine Analyse zu den Rückschlüssen in Auftrag, die aus seiner Freundesliste herausgerechnet werden können. Diese ergab, dass er seinen Zivildienst beim Roten Kreuz in Salzburg abgeleistet habe und homosexuell sei. Des Weiteren befinden sich auf der von Meta geführten Liste seiner Aktivitäten außerhalb von Facebook u. a. Anwendungen und Internetseiten für die Partnersuche für Homosexuelle sowie die Website einer österreichischen politischen Partei. Zu den gespeicherten Daten des Klägers des Ausgangsverfahrens gehört auch eine E‑Mail-Adresse, die in seinem Facebook-Profil nicht angegeben war.

Herr Schrems machte vor Gericht geltend, dass die Verarbeitung seiner personenbezogenen Daten durch Meta gegen mehrere Bestimmungen der DSGVO verstoße. Der OGH legte den Fall dem EuGH vor.

 

Entscheidung:

Der EuGH verwies zunächst auf seine bisherige Rechtsprechung, wonach die in Art 5 DSGVO niedergelegten Grundsätze für die Verarbeitung personenbezogener Daten kumulativ gelten. Gemäß Art 5 Abs 1 Buchstabe a müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Diese Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Des Weiteren ist in Art 5 Abs 1 Buchstabe c DSGVO der sogenannte Grundsatz der „Datenminimierung“ verankert, wonach personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen. Zur zeitlichen Begrenzung einer Verarbeitung personenbezogener Daten wies der EuGH darauf hin, dass der Verantwortliche unter Berücksichtigung des Grundsatzes der Datenminimierung verpflichtet ist, den Zeitraum der Erhebung der betreffenden personenbezogenen Daten auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken.

Der EuGH kam im vorliegenden Fall zu dem Ergebnis, dass der in der DSGVO festgelegte Grundsatz der „Datenminimierung“ dem entgegensteht, dass sämtliche personenbezogenen Daten, die ein Verantwortlicher wie der Betreiber einer Online-Plattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden.

Nach Auffassung des EuGH könne es sein, dass Herr Schrems durch seine Aussage bei einer Podiumsdiskussion seine sexuelle Orientierung offensichtlich öffentlich gemacht hat. Es sei Sache des österreichischen Obersten Gerichtshofs, dies zu beurteilen.

Der Umstand, dass eine Person Daten zu ihrer sexuellen Orientierung offensichtlich öffentlich gemacht hat, führt dazu, dass diese Daten unter Einhaltung der Vorschriften der DSGVO verarbeitet werden können. Dieser Umstand allein berechtigt jedoch nicht, andere personenbezogene Daten zu verarbeiten, die sich auf die sexuelle Orientierung dieser Person beziehen. Somit gestattet der Umstand, dass sich eine Person bei einer öffentlichen Podiumsdiskussion zu ihrer sexuellen Orientierung geäußert hat, dem Betreiber einer Online-Plattform für ein soziales Netzwerk nicht, andere Daten über ihre sexuelle Orientierung zu verarbeiten, die er gegebenenfalls außerhalb dieser Plattform von Anwendungen und Websites dritter Partner im Hinblick darauf erhalten hat, sie zu aggregieren und zu analysieren, um dieser Person personalisierte Werbung anzubieten.

 

 

Link zur Entscheidung

Link zur Pressemitteilung

 

Weitere Blog-Beiträge zum Thema DSGVO:

Sparkassen-Mitarbeiter greift mehrmals unbefugt auf personenbezogene Daten eines Kunden zu. EuGH: Aufsichtsbehörde muss nicht bei jedem Verstoß Abhilfemaßnahme ergreifen oder Geldbuße verhängen.

DSGVO gewährt Patienten das Recht auf eine kostenlose Erstkopie ihrer Krankengeschichte

EuGH: Verbandsklagen bei Datenschutzverstößen möglich, wenn bei Datenverarbeitung DSGVO-Informationspflichten verletzt wurden.

EuGH: DSGVO gewährt Recht auf Auskunft über Zeitpunkt und Grund für Abfrage personenbezogener Daten. Jedoch zumeist keine Auskunft über konkreten Arbeitnehmer, der die Abfrage vornimmt.

EuGH: Recht auf „Kopie“ von verarbeiteten personenbezogenen Daten = Ausfolgung originalgetreuer und verständlicher Reproduktion aller dieser Daten.

EuGH zum immateriellen DSGVO-Schadensersatz: „Verlust der Kontrolle“ über personenbezogene Daten ist Schaden. Keine Straf- sondern Ausgleichsfunktion.

EuGH: Datenschutzbehörde kann auch ohne Antrag betroffener Personen die Löschung unrechtmäßig verarbeiteter Daten anordnen.

EuGH zu „Real Time Bidding“: In Zeichenketten gespeicherte Nutzerpräferenzen sind personenbezogene Daten iSd DSGVO.

EuGH: Keine Bagatellgrenze für immateriellen Schaden infolge DSGVO-Verstoß. Jedoch Nachweis erforderlich, dass immaterieller Schaden tatsächlich entstanden ist.

Videoüberwachung deckt versuchtes Erschleichen einer Versicherungsleistung auf: Kein DSGVO-Schadenersatz für (behauptete) Datenschutzverletzung.

EuGH zu den Praktiken der deutschen Wirtschaftsauskunftei SCHUFA („Scoring“ sowie mehrjährige Datenspeicherung).